понедельник, 17 декабря 2018 г.

Kill Chain в примерах


Заметил, что для многих начинающих безопасников понятие Kill Chain - сферический конь в вакууме. Понятно, что можно рассказать красивую историю, что это методика обхода защиты, когда на каждом этапе ты делаешь минимальное действие, необходимое для обхода защиты. И поэтому мы сделали такой слайд, где эти методики приведены в виде примеров. Так ведь понятнее? И становится понятнее от чего конкретно защищаться. В принципе каждый безопасник легко может дополнить каждый пункт на основе своего опыта. 
Вижу частую ошибку, что e-mail атаки ждут только по протоколу SMTP - его и защищают, в когда сотрудник получает письмо с вложением на сайте mail.ru или gmail, или через своего почтового клиента по POP3 или IMAP, то почему-то оказывается там никто и не проверял вирусы и не включал отправку в свою дорогую песочницу.
То же самое, когда система управления бот-сетями использует twitter для отправки сообщений и получения команд - тоже мало кто готов.